Насоки за управување со ризиците za...4 1. Вовед Насоките...

1

Министерство за финансии

Сектор за јавна внатрешна финансиска контрола

Насоки

за управување со ризиците

Скопје, март 2015 година

2

Претходни забелешки

Целта на документов е да го претстави целокупниот пристап кон управувањето со ризиците со

кои се соочува организациите од јавниот сектор, со што ќе се овозможи ефективно

препознавање и управување со нивните ризици.

Управувањето со ризиците се состои од два дела.

1. Анализа на ризик, која вклучува утврдување и дефинирање на ризиците и евалуација на

влијанието и последователните активности.

2. Управување со ризик, кое ги опфаќа активностите кои се вклучени во планирањето,

мониторингот и контролирањето на активностите со што ќе се утврдат/истакнат

проблемите и слабостите и ќе ја зголеми веројатноста организацијата да ги постигне

своите цели.

Анализата на ризик (или проценката на ризик) и фазите на управување со ризикот мора да

бидат третирани одделно, за да се обезбеди дека одлуките се донесени објективно и врз

основа на сите релевантни информации.

Анализата на ризикот и управувањето со ризикот се меѓусебно поврзани и се спроведуваат

постојано.Формалното евидентирање на информациите е важен елемент на анализата и

управувањето со ризикот. Документацијата обезбедува основа која го поддржува

целокупното управување со ризикот.

Внатрешните и надворешните ревизори обезбедуват различен степен на уверување за

состојбата на ефективноста на процесите на управување со ризик и контролните процеси во

организацијата. Раководителите и ревизорите имаат интерес за употреба на техники и алатки

кои ќе го подобрат фокусот и ширината на напорите за проценка на управувањето со ризикот

и контролните процеси кои се воспоставени и да ги утврдат начините за подобрување на

нивната ефективност.

Цели на управувањето со ризиците

1. Изготвување мапа на ризици која ќе ги утврди и рангира сите значајни ризици со кои

се соочува организацијата, како и да помогне во про-активното управување со

ризикот.

2. Рангирање на сите ризици во однос на веројатноста за појавување и очекуваното

влијание.

3. Јасно утврдување на надлежностите, одговорностите и отчетноста за управувањето со

ризикот.

4. Овозможување Годишниот финансиски извештај да содржи резиме за применетиот

начин на проверка на ефикасноста на системот на внатрешна контрола.

5. Подигање на свеста за принципите и придобивките кои се вклучени во процесот на

управување со ризикот и вработените да се посветат на принципите на контролата на

ризикот.

3

СОДРЖИНА ПРЕТХОДНИ

ЗАБЕЛЕШКИ……………………………………………………………………………………………………………………………….2

1. ВОВЕД…………………………………………………………………………………………………………………………………………4

2. УПРАВУВАЊЕ СО РИЗИКОТ - КЛУЧНИ ПРИНЦИПИ……………………………………………………………………5

2.1 Дефиниција…………………………………………………………………………………………………………………………….5

2.2 Цели на управувањето со ризикот во организацијата………………………………………………………...5

2.3.Типологија на управувањето со ризик ………………………………………………………………………………6

3. СПРОВЕДУВАЊЕ НА УПРАВУВАЊЕ СО РИЗИК ПРЕКУ СЕДУМТЕ КЛУЧНИ ЧЕКОРИ…………………..8

3.1.ЧЕКОР 1: Опис на работните процеси и активности во Книгата на процеси………………………8

3.1.1. Дијаграми и ревизорска трага…………………………………………………………………………………………..8

3.2.ЧЕКОР 2: Утврдување на целите на активностите………………………………………………………………..9

3.3.ЧЕКОР 3: Процена на инхерентниот ризик за секоја активност…………………………………………10

3.3.1. Утврдување на инхерентниот ризик………………………………………………………………………………..10

3.3.2.Проценување на влијанието на ризикот…………………………………………………………………………..11

3.3.3. Проценка на веројатноста на ризикот ………………………………………………………………………………12

3.4. ЧЕКОР 4: Проценка на системот за внатрешна контрола ………………………………………………….13

3.4.1.Критериуми на контролните активности…………………………………………………………………………..13

3.4.2.Категории на активности на внатрешната контрола…………………………………………………………13

3.4.3. Проценка на постојните/воспоставените и очекуваните/потребните контроли …………..14

3.5 ЧЕКОР 5: Селекција на одговор на ризик за резидуалните ризици…………………………………….17

3.6.ЧЕКОР 6: Спроведување на одговор на ризикот: акциски план…………………………………………..17

3.6.1 Одредување на прифатливото ниво на ризик……………………………………………………………………18

3.6.2 Спроведување на одговор на ризик……………………………………………………………………………………19

3.6.3 Спроведување на контролата……………………………………………………………………………………………..21

3.7.Чекор 7: Мониторинг и известување…………………………………………………………………………………….22

3.7.1 Мапирање на ризиците ………………………………………………………………………………………………………23

3.7.2.Акциски план на организацијата…………………………………………………………………………………………24

3.7.3. Општата шема: Пополнување на Регистарот на ризици …………………………………………………25

4 - СТРУКТУРА И ОДГОВОРНОСТИ ЗА УПРАВУВАЊЕТО СО РИЗИКОТ ………………………………………......26

4.1. Стратегија за управување со ризикот ………………………………………………………………………………….26

4.2. Структура за управување со ризици во организацијата …………………………………………………….26

4.2.1. Вработени во организацијата.…………………………………………………………………………………………..27

4.2.2. Ризик менаџер.`………………………………………………………………………………………………………………….27

4.2.3.Координатор за управување со ризиците.………………………………………………………………………..28

5. СЛЕДЕЊЕ И ГОДИШНО ИЗВЕСТУВАЊЕ …………………………………………………………………………………….29

5.1.Следење: годишен преглед и ажурирање на регистарот на ризик …………………………………..29

5.2. Годишен извештај…………………………………………………………………………………………………………………29

ПРИЛОЗИ……………………………………………………………………………………………………………………………………….31

4

1. Вовед

Насоките за управување со ризиците имаат за цел обезбедување практични и теоретски

совети и препораки за вработените и раководството на организациите од јавниот сектор како

да ги спроведуваат принципите и клучните елементи на методологијата за управување со

ризиците.

Насоките за управување со ризици претставуваат релевантна методологија за спроведување

на проценка на ризик во рамките на секоја активност на организацијата. Методологијата за

управување со ризици е подготвена со цел да ги опфати прашањата за утврдување на

ризиците, како и проценката на влијанието и веројатноста за појава на ризици. Внимание е

посветено на фактот дека проценката на ризиците може да биде успешна само кога истата е

проследена со активности за ублажување на ризиците. Со цел да се постигне тоа,

секојдневната работа на сите организациони единици во организацијата мора да бидат

интегрирани со активностите кои помагаат да се зајакне редовно следење на утврдените

ризици и примената на соодветните мерки за ублажување на ризиците.

Насоките за управување со ризиците ги поставуваат принципите, концептите, препораките и

упатството за посебниот пристап кон управувањето со ризиците. Во управувањето со

ризиците, ризик менаџерите ги проценуваат слабостите на системот на систематски и

структуриран начин и предлагаат можни подобрувања за зголемување на можноста за

успешно извршување на нивните задачи.

Примената на методологијата создава можност за прибирање на резултатите од проценката

од различни сектори кои учествуваат во структурата на буџетските активности во

организацијата. Најзначајните ризици изведени од секторите во организацијата ги утврдуваат

и активностите за управување со ризикот.

3

5

4

2 - Управување со ризикот - Клучни принципи

2.1. Дефиниција

Ризикот може да се дефинира како "Секој настан или проблем што може да се случи и

негативно да влијае на остварувањето на политичките, стратешките и оперативните цели на

организацијата. Пропуштените можности, исто така, се сметаат како ризик".

Ризикот, исто така, може да се дефинира како можна закана, настан (или комплекс на

настани), активност (или комплекс на активности) или неактивност која може да предизвика

губење на средства или углед и претставува закана за успешното исполнување на утврдените

задачи на организацијата.

Управувањето со ризикот е централен дел на стратешкото управување на секоја

организација. Тоа е процес со кој организациите методично ги утврдуваат ризиците поврзани

со нивните активности со цел постигнување одржлива корист во рамки на секоја активност и

преку листата на сите активности.

Како последица на тоа, суштинско значење на управуавњето со ризикот е да ја подобри

ефикасноста на организацијата преку систематско утврдување, оценување, управување и

контрола на проектите и системските ризици и ризичните настани и состојби кои може да

имаат негативни ефекти за постигнувањена целите на организацијата.

2.2. Цели на управувањето со ризикот во организацијата

Целта на активноста на управувањето со ризик е да ги донесе ризиците во организацијата на

прифатливо ниво со спроведување на мерки кои ќе ја ублажат веројатноста за настанување на

ризикот, влијанието на реализацијата на ризик, или и двете во исто време. Со цел да го

направите ова, прво мора да признаеме дека ризиците се природен дел од секојдневните

активности и не може да се избегнат, но може само да бидат управувани.

Тоа значи дека треба да се утврди одредено ниво на "прифатлив ризик" за секој конкретен

случај во анализата. Прифатлив ризик е степенот на ризик што раководството е подготвено да

го прифати во постигнувањето на своите цели. Анализата на ризиците со дефинираното ниво

на прифатливост на ризикот може да обезбеди разумно уверување дека целите на

организацијата ќе бидат постигнати. Сепак, дури и добро осмислено и извршено управување

со ризик не може да гарантира дека сите цели ќе бидат целосно постигнати.

Ресурсите се секогаш ограничени и тоа значи дека не може да се зборува за целосно

елиминиарање на ризиците или нивно целосно спречување, но само за намалување на

ризикот на прифатливо ниво за раководството.

Проценката на ризикот е втората компонента од COSO моделот.

Во согласност со COSO дефинициите, главните цели на управувањето со ризик за

организацијата се:

� Обезбедување функционирање на структурата на организацијата како целина;

6

� Постигнување на целите за секој организационен дел на организацијата на соодветно

ниво и во согласност со своите функции;

� Заштита на финансиските интереси од измама, загуби, законски повреди и грешки;

� Заштита на средствата;

� Обезбедување точност и навременост на информациите и нивната достапност до

засегнатите лица / организации;

� Обезбедување дека се воспоставени соодветни оперативни процедури за управување

со кризни состојби.

Со цел да се постигнат горенаведените цели, сите сектори на организацијата треба да го

разбираат и подржуваат концептот и методите на процесот на управување со ризиците. Оваа

методологија треба да се изготви и шири низ организацијата од врвното раководството кон

оперативниот персонал. Управувањето со ризик треба да се спроведе како сеопфатна работна

структура и збир на практични алатки за спречување на ризиците кои негативно може да

влијааат на ефикасноста на активностите на организацијата. Ова бара приближување на

практиките на сите релевантни активности и усогласување на резултатите од утврдените

ризици/проценката на ризиците, со цел да управува со нив рационално, успешно и

економично.

2.3.Типологија на управувањето со ризик

Следната типологија на општиот ризик може да се користи за општа класификација на ризикот

од страна на раководството и единицата за внатрешна ревизија на организацијата, кога тоа е

потребно.Типологијата има три цели:

� Создавање на заеднички јазик за да се олесни комуникацијата во областа на

управувањето со ризик;

� Обезбедување алатка која може да се користи во утврдувањето на ризикот за да

помогне на раководството да биде сигурно дека сите аспекти на ризикот и

потенцијалните ризици се земени во предвид;

� Анализа, консолидирање и известување за ризиците.

Утврдени се осум категории на ризик во контекст на активностите на организацијата:

� Стратешки ризик: се однесува на долгорочните стратешки цели на организацијата (пр.:

недостаток на правила за надзор (мониторинг политика),нејасни стратегии или цели,

нереални или преценети цели, отсуство на договорени и извршени цели...);

� Оперативен ризик: се однесува на прашањата со кои се соочува организацијата на

дневна основа, како нејзини стремежи за остварување на своите стратешки цели (пр:

нема сигурен ИТ систем, сложени правила, сложено работење (кога работењето е

комплицирано и разновидно со голем број на вклучени страни), недостаток на

упатства, надворешни информации / податоците не се добиени навреме ...);

� Организациски ризик: (пр:Недостатокот на утврдена замена, недоволен надзор на

работењето/недоволно или несоодветно делегирање на задачите / несоодветна

поделба на должностите);

7

� Ризик на усогласеност: се однесува на прашања како што се: заштита на податоците,

недостиг на ефикасна регулатива, недостиг на соодветни правни инструменти,

контрадикторни работни процедури, сложени правила кои го зголемуваат ризикот од

погрешно толкување или грешка во нивната примена, прифаќање на неприфатливи

барања предизвикани од нејасни правила и прописи;

� Ризик на ефикасност: (пр: нема цел на системот за надзор/мониторинг);

� Финансиски ризик: се однесува на ефективното управување и контрола на финансиите

во организацијата како што се измама или неправилност и ефектот од надворешните

фактори како што е девизниот курс;

� Репутациски ризик: (пр: негативна надворешна проценка);

� Други ризици: некласифицирани.

Покај ова, категориите на ризици кои се утврдени погоре, истите може да се групираат во три

типа на теоретски ризици како што се:

� Инхерентен ризик: ризик поврзан со природата на самите активности (пр: недостаток

на насоки, сложеност на активностите, недостаток на документација, голем број на

учесници вклучени во постапката, недостатокот на следливост на активноста...).

� Контролен ризик: ризик дека грешките или неправилностите во работата или

основните трансакции (задачи) не се спречени, откриени и коригирани со системите на

внатрешната контрола (внатрешната контрола или внатрешната ревизија). (Пример:

недостаток на поделба на должности, недостаток на надзор, релативно неискусен

персонал, несоодветен персонал во однос на обемот на работа, стратегијата за

контрола не води доволно сметка за ризиците, или "ги пропушта" областите со клучен

ризик.).

� Резидуален ризик: ризикот кој останува по воспоставените контроли кои го ублажуваат

инхерентниот ризик.

5

8

6

3 - СПРОВЕДУВАЊЕ НА УПРАВУВАЊЕ СО РИЗИК ПРЕКУ СЕДУМТЕ КЛУЧНИ ЧЕКОРИ

Управувањето со ризик е процес кој ги вклучува различните активности како утврдување,

проценка, приоритизирање на ризиците, спроведување и проверка на олеснителните или

корективните активности, како и претходно планирање и контрола. Концептуално, седумте

чекори на моделот на општото управување со ризикот се наменети за да се обезбеди

заеднички пристап во управувањето со ризикот:

■ Чекор 1 - Описи на работните процеси и активности во Книгата на процеси

■ Чекор 2 – Утврдување на целите на активностите

■ Чекор 3 - Проценка на инхерентниот ризик за секоја активност

■ Чекор 4 – Проценка на системот на внатрешна контрола

■ Чекор 5 – Селекција на одговор на ризикот за резидуалните ризици

■ Чекор 6 – Спроведување одговор на ризикот: акциски план

■ Чекор 7 - Следење и известување

3.1.ЧЕКОР 1: Опис на работните процеси и активности во Книгата на процеси

Подготовката на регистарот на процеси (мапирање) и подготовката на книгата на процеси,

обезбедува воедначеност во спроведувањето на работните процеси, утврдување на

спроведените активности, одговорноста за спроведување на активностите, како и рокот во кој

треба да бидат извршени. Тоа треба да биде споено со прегледот на утврдените контроли во

рамки на процесот, заради остварување на целта на процесот.

Работните процеси се збир на меѓусебно поврзани активности насочени кон постигнување на

работните цели. Листата на работни процеси е примарна цел на проценката на ризикот.

Мапирањето на процесите вклучува листа и опишување на сите работни

процеси. Мапирањето на сите работни процеси резултира со добивање на комплетна слика за

начинот на кој организацијата ги постигнува своите работни цели. Тоа обезбедува целосен

опис на организацијата и нејзините активности и покажува дали постојат слабости во

дефинирањето на процесот. Книгата на процеси обезбедува преглед на поврзаноста на

процесите како и можностите за подобрувања на организацијата.

Види го Прилог бр.1: "Краток преглед на Книгата на процеси во Министерството за финансии".

3.1.1.Дијаграми и ревизорска трага

Секој работен процес е претставен со општ дијаграм - Flowchart (преглед на работниот процес

како целина). Дијаграмот може да обезбеди краток преглед на процесот и помага во

утврдувањето на недостатоците преку олеснување на јасното разбирање за тоа како процесот

се одвива.

Потоа, во рамки на секој процес, главните активности се опишани во одделни детални

дијаграми и се утврдени/прикажани во соодветни ревизорски траги.

9

Ревизорската трага е алатка за управување која се користи за следење на процесот, од

почеток до крај и низ различни учесници вклучени во спроведување на процесот или

активноста.

Дополнително, ревизорската трага обезбедува реконституирање на сите поединечни

трансакции и активности спроведени во конкретен процес.

Осмислувањето и подготовката на ревизорската трага се базира на анализа на процесот со

цел опишување и трасирање на тековите на активностите со јасно утврдување на

активностите кои се извршуваат, организациските единици кои се вклучени во активностите

заедно со другите тела/буџетски корисници,ресурсите кои се користат и добиените резултати.

Ревизорската трага обезбедува јасна визија за:

� Процесите / активностите на процесите /задачите на активностите,

� Целите на процесите / активностите / задачите,

� Инволвираните вработени во секторот (кој што прави во активноста),

� Користени инпути/влезови за секоја задача и очекуваните резултати,

� Правни, финансиски и други документи со кои се регулираат и поддржуваат

активностите во рамки на процесите и базата на податоци што ја поддржува

активноста.

� Наведување на правилата за секој чекор од активност.

Ревизорската трага редовно треба да се ажурира, со цел да се обезбеди одраз на тековната

состојба во спроведувањето на процесите.Информациите неопходни за изготвување или

ажурирање на дијаграмите обично се добиваат со интервјуирање на вработените во секоја

"проценувана единица" за процедурите кои се следени и со прегледување на прирачниците

за процедурите, постојните дијаграми и другата системска документација.Примерок од

документите се чува во секоја од вклучените организациони единици.

Вработените се прашуваат за нивните конкретни задачи. Прашањата треба да се постават при

прегледување на трансакцијата, но особено и при ажурирање на дијаграмите.

o Целта на изготвувањето на дијаграмите и ревизорските траги на работните

процеси е да се направи целосен преглед на организацијата при што ќе се

утврдат сите можни закани (ризици) во процесите на организацијата.

Сите дијаграми и ревизорски траги за сите работни процеси на организацијата треба да бидат

собрани во Книгата на процеси.

3.2.ЧЕКОР 2: Утврдување на целите на активностите

Сите сектори во организацијата кои се вклучени во задачите на организацијата имаат посебна

улога и цели кои треба да ги исполнат, при што ќе се гарантира стабилно финансиско

управување и ќе се обезбеди вистинит приказ во сметководството.

Утврдените цели на активностите мора да бидат во согласно COSO целите:

� Гарантирање на квалитетот на финансиските евиденнции,

� Заштита на државните средства,

10

� Обезбедување на усогласност со прописите и

� Зголемување на ефективноста на организацијата

Целта на секој процес е тоа што мора да се постигне преку активностите или дејствијата на

процесот. Целите на процесите се утврдени во книгата на процесите и во образецот за проценка

на ризик за секоја активност.

Покрај тоа, управувањето со ризик подразбира пополнување на образецот за проценка со

утврдената активност и видот на активноста:

� Мониторингот подразбира постоење на ефективна регулатива, ефикасно стратешко

планирање ....

� Работењето е: подготвување, извршување, надгледување на активностите и

сметководственото работење во согласност со регулативата ...

� Активностите за поддршка на функцијата се: користење на релевантни ИТ системи и

соодветни човечки ресурси ..

Целта на активноста мора да биде опишана во Образецот за проценка на ризикот согласно

целта на активноста што тебало да биде утврдена во претходниот чекор (документирање на

процесите и активностите). Методологијата е "еден ризик, еден образец". Така, проценителот

мора да пополни толку образци колку што е бројот на ризици наведени во активноста.Тогаш

овие обрасци ќе имаат исти опишани "цели на активноста" за сите различни ризици.

"Сопственик на процесот" е лице одговорно за спроведување на процесот (обично

раководителот на секторот). Само едно лице може да биде сопственик на процесот. Ова лице

го определува начинот на кој процесот треба да биде извршен и е овластено да прави

промени во процесот. Сопственикот на процесот е наведен во ревизорската трага и во

образецот за проценка на ризикот. Се препорачува тука да се наведе работното место

(функцијата), наместо името на лицето, за да се избегне менување на податоците кога

одговорното лице за дадениот процес го напушта секторот. Ова ќе бара постојано ажурирање

на Книгата на процеси.

Види Анекс бр.2: "Образец за проценка на ризикот".

3.3.ЧЕКОР 3: Процена на инхерентниот ризик за секоја активност

Секое утврдување на ризикот треба да се заснова на точно познавање на процесите и

активностите на организацијата и на средината во која тие функционираат.

На почетокот на утврдувањето на ризикот, потребно е знаењата поврзани со проценката на

ризикот (на ризик менаџерите/координаторите и вработените во организацијата задолжени

за пополнување на обрасците за проценка на ризикот) да се стандардизираат.

Проценката на ризикот претствува утврдување и проценка на проблемите или настаните кои

влијаат на активностите на организацијата како и постигнувањето на дефинираните цели.

3.3.1. Утврдување на инхерентниот ризик

Инхерентниот ризик може да се дефинира како потенцијал за непостигнување на мисијата,

целите и задачите на организацијата; губење, неефикасност и неефективност; загуба,

11

неовластено користење или злоупотреба на средства; непридржување кон законите,

прописите, политиките, процедурите и насоките; или неточна евиденција, заштита и

известување за финансиските и други клучни податоци.

Оваа анализа треба да се изврши без оглед на воспоставените контроли, со цел да се

отстранат тие ризици.

Факторите кои треба да се земат во предвид при анализата на ризиците се:

� Целта и карактеристиките на активноста;

� Нивото на буџетот и ресурсите;

� Набавката на стоки или услуги;

� Надворешното влијание на организацијата.

Раководниот и оперативниот персонал треба да известат за можните закани во врска со

нивните функции со доставување образец за проценка на ризик до ризик

менаџерот/координаторот на организацијата заради одобрување. Во оваа фаза на процесот,

подносителот на образецот за проценка на ризикот треба да даде прелиминарна (претходна)

проценка на ризикот, врз основа на два индикатори:

� Веројатност утврдените ризици да се случат (Веројатноста укажува на зачестеност на

појавата на настанот),

� Влијанието на ризик, односно ефектот или последиците кои произлегуваат од појавата на

ризикот (влијанието укажува на последиците предизвикани од појавата на некој настан).

Процесот на проценување претставува давање мислење врз основа на стручноста и

искуството на проценителот на ризикот и на нивото на расположивите информации.

Инхерентните ризици се опишани во Книгата на процеси (главен ризик) и во образецот за

проценка на ризикот на активностите, кои се собрани при мапирањето на ризиците.

3.3.2.Проценување на влијанието на ризикот

Проценувањето на влијанието треба да се разгледува во однос на финансиските вчложувања

и предвидливите последици на процесот или организацијата.

Проценка Толкување

Мало

Ако ризикот се појави, работниот процес и планираните активности не

се нарушени (или влијанието е лесно).

Примери: планот/распоредот одложува помали проекти / услуги

Губење на средства (ниска вредност)

Неповолно медиумско внимание

Умерено

Ако се појави ризик, активностите се значително нарушени.

Примери: Нарушување на некои суштински програми / услуги

Загуба на средства

Некаква загуба на довербата на јавноста

Негативно медиумско внимание

12

Сериозно

Ако се појави ризик, активностите во голема мера се нарушени.

Примери: Нарушување на сите основни програми / услуги

Губење на големи средства

Значително губење на довербата на јавноста

Јавен повик за отстранување на министерот и / или службени лица

Проценителот/координаторот мора да го утврди можното влијание на ризикот

(мало / умерено / сериозно) и да го внесе неговиот избор во образецот за проценување.

3.3.3. Проценка на веројатноста на ризикот

Веројатноста на ризикот е можноста да се појави некој ризик во анализираниот работен

процес.

Проценка Толкување

Ниска Појавата на ризик е малку веројатна или има некои сознанија за

настанатата состојба.

Среден

Настанот може да се случи понекогаш.Претходната евиденција или

сознанија за настанатата состојба ја поддржуваат веројатност за појава

на ризик.

Висок

Настанот се очекува да се случи во повеќе околности. Јасни и чести

докази или сознанија за настанатата состојба ја поддржуваат

веројатноста за појава на ризик.

За секој ризик, проценителот/координаторот треба да го одреди нивото на веројатноста на

ризикот (ниска / средна/висока). Избраниот степен на веројатност на ризикот мора да биде

накратко оправдан во образецот за проценка.

Мора да се има предвид дека утврдувањето на ризиците не треба да биде премногу општо

(бидејќи не е сигурно дали ќе може да се најдат мерки за ублажување на ризикот) или

премногу детално (утврдувањето на сите можни ризични состојби, сценарија и мерки за

ублажување на ризикот би одзеле многу време и нема да се обезбеди фокусирање на

најважните цели на организацијата. Ризикот треба да биде утврден и препознаен како реална

можност од страна на мнозинството проценувачи.

Вкрстувањето на проценката на веројатноста на ризикот и проценката на влијанието на

ризикот е утврдено во матрицата на инхерентниот ризик :

13

Матрица на инхерентен ризик

Вл

ија

ни

е Сериозно Среден Висок Висок

Умерено Низок Среден Висок

Мало Низок Низок Среден

Ниска Средна Висока

Веројатност

Види Прилог бр 3: "Модел на мапирање на ризикот".

3.4. ЧЕКОР 4: Проценка на системот за внатрешна контрола

3.4.1.Критериуми на контролните активности

Контролните активности се политики и процедури кои помагаат да се спроведат директивите

за управување. Тие помагаат да се преземат неопходните активности за решавање на

ризиците со цел постигнување на целите на субјектот. Контролните активности се јавуваат во

организацијата, на сите нивоа и во сите функции. Тие вклучуваат голем број на активности

како што се различни одобренија, овластувања, проверки, усогласувања, преглед на

оперативното работење, заштита на средствата и поделба на должностите.

Со цел да бидат ефективни, контролните активности мора да бидат:

� Соодветни (вистинска контрола на вистинско место пропорционално на ризикот);

� Исплатливи (трошоците за спроведување на контролата не треба да ги надминува

нејзините користи);

� Сеопфатни/комплетни, разбирливи и директно поврзани со контролните цели;

� Доследни/конзистентни со нивната работа во согласност со планот за внатрешна

контрола за одреден период.

3.4.2.Категории на активности на внатрешната контрола

Контролите може да се категоризираат како што следи:

� Директивните контролни активности се креирани да ја водат организацијата кон

посакуваниот резултат. Повеќето директивни контролни активности се во форма на

закони, регулативи, упатства, политики (стратегии) и пишани процедури.

� Превентивните контролни активности се креирани за да се спречи појава на несакан

настан. Воспоставувањето на овие контроли вклучува предвидувања на можни

проблеми пред тие да се појават и спроведување на начини за избегнување на истите.

� Детективните контролни активности се креирани за да се утврдат несаканите настани

кои се појавуваат и да се предупреди раководството за тоа што се случило. Тоа

овозможува раководството веднаш да преземе корективна активност.

14

� Корективните контролни активности се процесите кои постојано се фокусирани на

непожелни состојби, се додека тие се коригираат. Тие, исто така, може да помогнат во

воспоставувањето на процедури за да се спречи повторување на несаканата состојба.

Не постои ниту една контролна активност која ги обезбедува сите одговори на проблемите во

управувањето со ризикот. Во некои состојби, треба да се користи комбинација на контролни

активности, а во други, една контролна активност може да биде заменета со друга.

Концептите на директивната, превентивната, детективната и корективната контроли, како и

контролните активности опишани погоре, се однесуваат и на рачните и на компјутеризираните

процеси.

3.4.3. Проценка на постојните/воспоставените и очекуваните/потребните контроли во

работните процеси:

Контролните активности ги намалуваат ризиците во работните процеси. Контролните

активности се политиките и процедурите кои помагаат да се обезбеди извршување на

директивите на раководството. Тие вклучуваат голем број на активности кои се разликуваат

како одобренија, овластувања, проверки, усогласување, прегледување на оперативните

резултати, заштита на средствата и поделба на должностите.

Различните категории на контролни активности се класифицирани во 8 точки или фактори

групирани во 3 главни прашања: организациони прашања, документациони прашања, како и

прашања на следливоста (следењето на движењата) во однос на секоја активност на

организацијата.

Нивоа на главните прашања на

контролата Фактори

1.Организациони прашања

1.1.Организацијата (кој што прави?)

1.2.Различното ниво и чекорите на контролата

1.3.Средствата и документот кој го поддржува вкупниот

режим

2. Документациони прашања 2.1.Постојната документација

2.2.Усогласеност со постојната документација

3. Прашања на следливост

3.1.Утврдување на учесниците

3.2. Следливост на трансакциите

3.3. Следливост на контролите

Оваа анализа се спроведува со прашалник за внатрешна контрола (околу 30 клучните

прашања поврзани со 3-те главни прашањата кои се наведени погоре).Методологијата што се

користи е "еден ризик, еден прашалник" и одговорите на вториве (прашалникот) се

поддржува и потврдува со собирање на документи, евиденции.

Евалуацијата на спроведеното ниво на внатрешно контролниот систем се рангира во четири

категории:

� Нема воспоставена контрола: значи дека во целост не постои било каков вид на

контрола. Затоа, можноста да се појави ризик е многу висока.

15

� Ниско: значи дека контролите постојат, но не се доволни (пр: се нерелевантни или

несоодветни).

� Средно: значи дека контролите се релевантни, но не се во состојба да ја покријат

целата област на можен ризик.

� Високо: значи дека воспоставените контроли се релевантни и функционираат

ефикасно.

Овие показатели треба да бидат вкрстени со нивото на инхерентен ризик за да се добие

матрица на контролен ризик. Шемата подолу ги утврдува сите различни можни комбинации.

Матрица на контролен ризик

Ни

во

ма

ин

хе

ре

нте

н

ри

зик

Висок Ниско Средно Високо Високо

Срден Ниско Средно Високо Високо

Низок Ниско Средно Средно Високо

Висок Среден Низок Нема воспоставена

контрола

Ниво на спроведен систем на внатрешна контрола

Види Прилог бр. 4:" Прашалник за проценка на внатрешната контрола

Еваулацијата на секоја активност на спроведеното ниво на внатрешно контролниот систем се

известува во консолидирана ексел табела со конечно рангирање комбинирано со бои на

кодот и бодувањето (скала 0-3):

� Нема воспоставено систем на внатрешна контрола (0 - црвена)

� Воспоставен низок систем на внатрешна контрола (1 - црвена)

� Воспоставен среден систем на внатрешна контрола (2 - Жолто)

� Воспоставен висок систем на внатрешна контрола (3 - зелено)

� Не е применливо (неутрална - црна)

16

2

Спроведено ниво систем на внатрешна контролен

БП

01

БП

02

БП

03

БП

04

БП

05

БП

06

БЕ

01

БЕ

02

БЕ

03

ПД

М 0

1

ПД

М 0

2

ПД

М 0

3

ПД

М 0

4

ПД

М 0

5

БС

01

БС

02

БС

03

БС

04

АС

ФР

01

АС

ФР

02

Вк

уп

но

3 1.1Организациони прашања

4 1.1.Организација (Кој што прави?)

5

1.1.1. Дали организацијата има описи на работните места

за секе работно место заедно за функциите, задачите и

должностите, а поврзано со очекувањата од профилот на

кандидатот?

3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3

6

1.1.2. Дали организацијата има годишна или

повеќегодишна изјава за мисијата која го опишува

постигнувањето на специфичните, мерливите,

остварливите, реални и навремените (SMART)цели . (На

ниво на сектор?)

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

7

1.1.3. Дали организацијата има воспоставено годишни

или повеќегодишни индикатори на успешност ? 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

8

1.1.4. Дали организација на организацијата е опишана во

организациона шема која редовно се ажурира и се

наведени функциите, должностите, замената,

овластувањата. Овластувања за ИТ системите,

сметководство и сродни сметководствени овластувања...?

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

9

1.1.5. Дали организацијата ги следи и ажурира ИТ

системите и базите на податоци, Excel листата користена

од страна на Секторот, корисниците и активностите?

2 2 2 2 2 2 2 2 3 3 2 2 2 200% 2 2 2 2 2

10

1.1.6. Делегираните овластувања и лимит се јасно

дефинирани, доделени и доставени во писмена форма? 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

11

1.1.7. Организационата шема вклучува поделба на

задачите за некомпатибилни/неспоиви функции? 2 3 3 3 3 3 3 3 2 2 2 2 1 1

12 1.2 Различно ниво и чекори на контрола

13

1.2.1. Компјутеризираниот систем за контрола е

интегрирани во ИТ системот кој се користи? 2 2 3 3 3 1 2 2

14

1.2.2. За некои трансакции на ex-ante контрола

процедурата е задолжителна? 2 2 3 3 3 2 2 3 2 2 2 2

17

Главна цел, за секоја активност на организацијата е да се утврдат активностите кои се

однесуваат на оперативно и раководно ниво:

� Главни предности и слабости,

� Област/и каде системот на внатрешна контрола мора да се подобри.

За секој од 8-те фактори за мерење, бодувањето се прави автоматски, од 0 (ниска) до 1

(високо) и графичкото претставување е креирано околу овие 8 точки на контроли. Оваа алатка

може да се користи независно од активноста, проблемот или за сите активности на

организацијата.

3.5 ЧЕКОР 5: Селекција на одговор на ризик за резидуалните ризици

Резидуалниот ризик може да се дефинира како преостанат ризик по воспоставените контроли

со цел да се ублажи инхерентниот ризик и може да биде прикажан како што следува:

Резидуалниот ризик = Вкупниот инхерентен ризик - ризикот ублажен со процедурите за

контрола.

„Резидуалниот ризик“ е преостанатиот ризик по преземените мерки. Резидуалниот ризик е

изведен од инхерентниот ризик и контролниот ризик. Шемата подолу ја прикажува матрицата

на резидуалниот ризик.

Матрица на резидуален ризик

Ин

хе

ре

нте

н

ри

зик

Сериозен Среден Висок Висок

Умерен Низок Среден Висок

Мал Низок Низок Среден

Низок Среден Висок

Контролен ризик

3.6.ЧЕКОР 6: Спроведување на одговор на ризикот: акциски план

Ризик менаџерите и координаторот за управување со ризик мора да подготват акционен

план. Постојат неколку можни начини за ублажување на ризиците и сите тие може да се

користат, но ризик менаџерите треба да се определат како ќе управуваат со нив.Одлуката ќе

зависи од значењето на ризикот и толеранцијата на управувањето со ризикот и односот кон

ризикот (одредени ризици можат да бидат прифатени, други не или само до одреден

степен). Во принцип, постојат четири (4) главни начини кои се користат како одговор на

ризикот:

18

� Избегнувајње – Активностите се преземат за да се прекинат или модифицираат

активностите / целите кои доведуваат до ризик. Ризиците може да се избегнат со

менување на обемот на активностите, дури и со менување на регулативата;

� Трансфер - Активностите се преземаат за да се намали веројатноста или влијанието на

ризикот со трансфер или споделување на дел од ризик со трети страни. Ризиците може

да бидат прераспоредени на трети страни кои ќе можат најдобро да ги контролираат

или (доколку е различно), кои ќе го сведат ризикот на најниско ниво;

� Намалување - Ова е најчестиот заеднички одговор на ризикот. Активностите се

преземаат за да се намали веројатноста или влијанието на ризикот или и пак

двете. Ова може да се направи на различни начини, на пример со: подобрување на

регулативата, поедноставување на оперативните процедури, зголемување на

контролата од персоналот или со добивање повеќе информации преку физибилити

студии или посебни истражувања;

� Прифаќање – Нема активност која се презема за понатамошно намалување на

ризикот. Ризик менаџерот проценува дека проценетото ниво на ризик може или мора

да се прифати или смета дека цената за намалувањето на ризикот е поголем од

потенцијалната штета.

Влијанието на ризикот може да биде подносливо без да се преземат каква било понатамошни

активности. Дури и ако не е подносливо, организацијата можеби нема да биде во можност да

направи нешто за ублажување на ризикот, или цената за преземање на било каква активност

може да ги надмине потенцијалните придобивки. Ризик менаџерите мора да го оправдаат

својот избор, особено во случај кога не е преземна активност (анализа на подносливост).

3.6.1 Одредување на прифатливото ниво на ризик

Нивото на „ризидуален ризик" (односно нивото на ризик, кој ги зема во предвид постојните

контроли и активностите за ублажување) зависи од нивото на ризик и неговото прифаќање

или толерирање од раководството. Раководството одлучува дали се потребни дополнителни

мерки за натамошно намалување на нивото на резидуалниот ризик или тој мора да биде

прифатен. Во некои случаи, резидуалниот ризик можеби треба да се прифати од неколку

причини. Прво, за намалувањето на изложеноста на ризикот на „нула“ потребно е преземање

на многу значајни мерки за контрола чии трошоци ќе бидат непропорционални со користа од

нив. Второ, некои ризици се надвор од контролата на раководството.

Во управувањето со ризици, оценувачот или ризик менаџерот треба да се фокусира на

внатрешните фактори на организацијата (како што се квалитетот и мотивацијата на

вработените, промените на вработените, квалитетот на системите за контрола или брзиот

раст на обемот на работа, итн) и надворешни фактори (како што е постојната правна рамка и

можноста за промени во регулативата, технолошкиот развој, општата средина на ризикот во

која организацијата работи, ....).

Во принцип, ризикот со ниско влијание и ниска веројатност за појавување не треба понатаму

да се разгледува, додека за ризикот со високо влијание и висока веројатност ќе биде

потребно преземање на приоритетни активности. Сепак, може да се случи раководството да

оцени дека ризикот може или мора да биде прифатен дури и ако мисли дека е од клучно

значење. Ова обично е случај кога раководството не го контролира ризикот (надворешни

ризици).

19

Раководството одлучува кои ризици припаѓаат на ниското ниво на прифатливост и дали

дополнителните активности за нивно ублажување се потребни или не. Менаџерот на ризик во

некои активности може да одлучи дека високите ризици се прифатливи.

Од друга страна, менаџерот на ризик може да одлучи дека активностите за ублажување треба

да се спроведат во случај на средно или ниско ниво на ризик.

3.6.2 Спроведување на одговор на ризик

Спроведувањето на одговор на ризик значи да се одобрат соодветни мерки со цел да се

минимизира веројатноста и влијанието на настанувањето на ризикот во насока до

нула. Сепак, при примена на соодветни мерки, потребно е да се направи јасна дистинкција

(разграничување) помеѓу последиците од ризикот (симптомите на ризик) и причините за

појава на ризикот.

Преку следниот дијаграм може да се олесни овој пристап со:

� дефинирање на настанот или спречување на истиот,

� дефинирање на заканите кои би можеле да предизвикаат појава на настан,

� дефинирање на последиците од појавата на настанот,

� дефинирање на контролата за спречување на појава на настанот и

� дефинирање на контролите за ублажување на последиците.

Прв чекор:

20

Втор чекор:

Акцискиот план, кој е соодветен на избраните одговори на ризик, ќе биде воспоставен за да

овозможи преземање на конкретни мерки за намалување на ризиците (причини за ризици).

Во некои случаи, кога ризикот може да се намали веднаш или во краток временски период,

не е потребно изготвување акциски план.За управување со другите ризици потребни се

значителни напори во тек на долг временски период (на пример промена на регулативата,

нови ИТ систем, менување на организацијата и структурата на управување, итн.)

Заради тоа, акцискиот план треба да ги содржи следните информации:

� Детален опис на ризикот;

� Детален опис на активностите / мерките што треба да се преземат;

� Одговорно лице за активностите / мерките што треба да се преземат;

� Рок за секоја фаза на проектот и конечен рок;

� Потребни ресурси за спроведување на планот (ако се неопходни);

� Очекувани резултати од активноста.

Контролниот ризик кореспондира на ризикот од погрешно прикажување или појава на грешка

која може да се случи при спроведување на активноста и нема да биде спречена или

детектирана/откриена и навреме корегирана од системите за внатрешна контрола.

21

„Контролниот ризик" е ограничен со воспоствената ефективна програма за проверки, која има

за цел потврдување на законитоста и правилноста на трансакциите.

Примери на индикатори за контрола на ризик: екипирање / нивоа на обемот на работа, ниво

на прераспоредување на вработените, број на поплаки / жалби, број на грешки автоматски

или рачно откриени од системот на внатрешна контрола, број на грешки откриени од други

контролни инстанци/нивоа (на повисоко ниво во рамки на системите за контрола, Државен

завод за ревизија).

3.6.3 Спроведување на контролата

Членот 16 од Законот за ЈВФК го уредува начинот на спроведување на контролата. Контрола

мора да ги земе во предвид следните три работи:

А)Мерките за внатрешна контрола:

� Превентивните активности се наменети за да се спречи појавата на неуспеси,

неефикасности, грешки и слабости. Од таа причина, превентивните контроли се

проактивни мерки кои се вршат во текот на активоста. Овие контроли претставуваат

најдобра пракса во однос на нивната цена, бидејќи тие спречуваат загуби и намалуваат

одредени ризици. Тие мора да се проценуваат преку четирите критериуми:

мониторинг; организација; документирање и следливост.

Пример: поделба на должности, овластување и одобрување, средства за пристап до

контролата, проверка на аритметичката точност пред плаќањето.

Види Прилог бр.5: "Модел на организациска / функционална шема".

� Детективните активности се наменети за откривање и корегирање на пропустите,

неефикасностите, грешките и слабостите. Тие функционираат по случување на настанот и

треба да ги намалат корективните активности. Детективните контроли се користат за

подобрување на процедурите или превентивните контроли. Тие мора да бидат

спроведени со пополнување на "Листите за внатрешна контрола". Ако не, системот на

внатрешна контрола ќе се смета дека не е релевантен или сигурен.

Пример: усогласување помеѓу налогот за плаќање и приемот.

� Корективните мерки се наменети за корегирање на околностите кои произлегуваат од

несаканите настани кои се случиле. Тие мора да бидат поврзани со документите или

датотеките за откриените грешки.

Види Прилог бр. 6: "Модели на контролни листи".

Во пракса, горенаведените категории може да не бидат јасно истакнати и една контрола

може да работи за да се покријат две или повеќе функции.На пример, надзорот опфаќа

превентивни и детективни контроли.

22

Б) Управување со нивото на контрола:

Поделба на

должности

ВЛИЈАНИЕ Високо Поделба на

должности

Превентивни или

Ex ante контроли

Низок Висок

Поделба на должнисти не е потребна

Ниско ниво на контрола

РИЗИК

Ниско

Поделба на

должнисти

Ex post контроли

Нивото на контрола мора да се прилагоди на влијанието на ризикот и на појавата на

ризикот. Тоа мора да биде периодично разгледано од раководството.

В)Мониторинг на внатрешната контрола:

Системите на внатрешна контрола треба да бидат мониторирани – тоа е процес на

континуирано оценување на квалитетот на ефикасноста на системот. Ова се постигнува преку

тековните активности на мониторинг, одделни проценки или комбинација од

двете. Тековните или одделните проценки се наменети за обезбедување информации за тоа

дали е ефективна внатрешната контрола во финансиското известување. Мониторингот го

олеснува навременото утврдување на пропустите на контролата и нивното отстранување.

Тековните оценувања/еваулации се наменети за обезбедување на постојан мониторинг на

контролите. Одделни еваулации (внатрешната ревизија) треба да бидат спроведени од

обучени вработени лица со доволно искуство и компетенции за управување со ризиците

поврзани со контрола на пропустите. Недостатоците на внатрешната контрола треба да се

пријават на повисоко ниво, а сериозните прашања да бидат доставени до највисокото

раководство.

Мониторингот е ефективен кога пропустите или недостатоците во контролата се утврдени

навреме, соопштени се на оние кои се одговорни за контролите и навреме е овозможена

корекцијата на пропустите во контролата.

3.7.Чекор 7: Мониторинг и известување

Изложеноста на ризиците се менува со текот на времето. Одговорите на ризиците кои

некогаш биле соодветни може да станат ирелевантни/несоодветни; контролните активности

може да станат помалку ефикасни или да не можат да се извршуваат. На пример, нови ризици

може да се појават во текот на годината како резултат на:

23

� промени во активностите и целите,

� реорганизација на раководните структури или системи и

� промени во надворешната работна околина.

Новите ризици можат да бидат утврдени преку:

� редовни раководни активности,

� внатрешната контрола,

� ex ante/ex post контролите и

� други проверки и анализи.

Со цел да се обезбеди дека акциските планови на организацијата продолжиле да бидат

соодветни и ефикасни на сите нивоа, редовното следење и известување треба да се

спроведува. Бидејќи веќе утврдените ризици може да еваулираат и да се појават нови

ризици, потребно е преку мониторингот да се врши редовно ажурирање на Регистарот на

ризици.

Регистарот на ризици ги вклучува мапирањето на ризиците и следењето на акцискиот план.

3.7.1 Мапирање на ризиците

Мапирањето на ризиците е алатка која се употребува за утврдување, контрола и управување

со ризиците.

Земајќи го во предвид пристапот на мапирање на ризиците организацијата треба да биде

свесна дека тоа не е еднократно решение и резултатите не се конечни. Тоа е повторлив

процес кој го подобрува разбирањето на раководството за управувањето и мерењето на

ефикасноста на вработените во намалување на контролниот ризик.

Процесот на мапирање на ризикот ги вклучува следните шест чекори:

� Утврдување: ризиците мора да бидат утврдени со цел да се обезбеди дека целиот

спектар на значителни ризици е опфатен во рамките на процесот на управување со

ризиците. Конзистентноста/доследноста на конечната „мапа на ризиците“ ќе биде

проверена со стратешкиот и оперативниот план на организацијата и планираните

процеси за управување со ризикот.

� Разбирање: постојните мерења на ризикот и контролните процеси треба да бидат

документирани.

� Еваулација/Оценување: ова вклучува проценување на фреквенцијата на настаните за

загуба, проценување на потенцијалните настани за сериозна загуба, а со замање во

предвид на неутрализирачките фактори да се ограничи фреквенцијата или големината

на загубите и да се разберат можните контролни процеси.

� Приоритизирањето на евалуацијата на фреквенцијата на ризикот, сериозноста и

контролите од Чекорот 3 тогаш се консолидирани. Ризиците се рангираат според

комбинирање на резултатите на сите три проценки. Рангирањето започнува со ризикот

со најлошата комбинација на фреквенцијата, сериозноста и контролните резултати.

24

� Управување: консолидираната еваулации од Чекорот 4 би требало автоматски да

укажат на ризиците на кои треба да се даде најмногу внимание. Критичната фаза

вклучува одлучување како да се упавува со најважните и најголемите ризици, земајќи

ги во предвид стратегијата и целите на организацијата.

� Повторно разгледување: процесот на утврдување, разбирање, оценување и

приоритизирање на ризиците мора редовно да се повторува, со цел да се обезбеди

клучните ризици соодветно да се управуваат.

Секоја година или идеално полугодишно, раководството ќе треба да прегледа што се случило

во минатото и ќе процени дали напорите во управувањето со ризикот ги дале очекуваните

резултати. Тогаш тоа е подготвено процесот да го започне повторно од чекорот 1.

Мапирањето на ризиците се прикажува:

� во колоните на образецот за проценка ;

� во редовите на поделбата на процесите и активностите.

Три нивоа на ризик може да се забележат при мапирање на ризикот со три различни избрани

бои:

� зелена за "ниско";

� портокалова за "средно";

� црвена за "високо".

Оваа типологија на боја е идентична како употребената во образецот за проценка на ризикот.

Мапирање на ризикот воглавно се пополнува во сите обрасци одобрени од ризик менаџерите

(нивната улога детално е објаснета во поглавјето 4.2.2). Сепак, координаторот за управување

со ризиците (неговата улога е подетално објаснета во поглавјето 4.2.3) мора да ги земе во

предвид заклучоците или препораките кои доаѓаат од извештаите на надворешната и

внатрешната ревизија и да ги прилагоди различните нивоа на ризик (инхерентни ризици,

контролни ризици; резидуални ризици).

Само координаторот за управување со ризиците е задолжен за последната колона "централно

ниво на ризик ". Од нивото на спроведената проценка од ризик менаџерите, координаторот

мора да ги рангира приоритетите за ублажување на ризиците. Приоретизирањето мора да

биде врз основа на финансиското учество во активностите и стратешките цели одобрени од

високото раководство (ниво на државен секретар).

3.7.2.Акциски план на организацијата

Планот треба да ги содржи потребните активности за спроведување на системот на

финансиско управување и контрола, роковите за извршување и лицата кои се одговорни за

поединечните активности. Координаторот за управување со ризик го консолидира акцискиот

план.

Види Прилог бр.7: "Модел на акциски план за елиминирање на слабостите”

25

3.7.3. Општата шема: Пополнување на Регистарот на ризици

Мапирање на

ризикотАкциски план

Регистар на ризици

Координатор за управување со

ризициОбработка и приоретизирање на ризиците

Образец за

проценка на

ризик

Заклучоци на

внатрешната

ревизија

Заклучоци на

надворешната

ревизија

Според оваа шема, координаторот за управување со ризиците е одговорен за конечната

обработка на информациите поврзани со ризиците откриени во организацијата.

Со цел да се даде приоритет на активностите на внатрешната контрола, тој мора да ги

усогласи добиените различни информации (обрасци за проценка на ризик, заклучоци на

внатрешната и надворешната ревизија) и евентуално да управува со контрадикторностите кои

би можеле да произлезат од овие спротивни информации.

26

4 - СТРУКТУРА И ОДГОВОРНОСТИ ЗА УПРАВУВАЊЕТО СО РИЗИКОТ

4.1. Стратегија за управување со ризикот

Утврдувањето и проценката на ризикот вклучува изготвување на стратегија за управување со

ризик, одобрена на највисоко раководно ниво. Согласно член 15 од Законот за јавна

внатрешна финансиска контрола ( „Службен весник на Република Македонија“ бр.90/09 и

188/13), секој субјект има обврска да изготви Стратегија за управување со

ризикот. Контролните кои се однесуваат на минимизирање на ризикот треба да бидат

анализирани и ажурирани најмалку еднаш годишно.

Во однос на развојот и функционирањето на системот за управување и контрола во

организацијата, важно е дека сите вклучени во процесите во организацијата имаат целосно

разбирање за користењето на управувањето со ризиците како инструмент за управување.

Целокупното управување со ризиците ќе произлезе од мерењето и приоритизирањето на

ризиците. Целта на управувањето со ризиците е нивно ограничување на прифатливо

ниво. Секоја активност преземена во организацијата во однос на управувањето со ризикот

станува дел од "внатрешната контрола".

Утврдувањето на факторите на ризик претпоставува добра соработка меѓу сите

организациони единици и сите нивоа на раководење во организацијата. При осмислување на

контролата, важно е да се даде разумно уверување дека поврзаните/придружните ризици ќе

бидат ограничени, наместо елиминирани. Секоја контролна активност има придружни

трошоци. Оттука, важно е дека контролната активност нуди вредност за парите во однос на

ризикот кој е контролиран.

4.2. Структура за управување со ризици во организацијата

Спроведените активности на управувањето со ризиците ефективно ќе ги следат

функционалните односи помеѓу секторите вклучени во процесите на организацијата.

Заради тоа, а со цел ефикасно водење и спроведување на активноста за управување со

ризиците, функционалните одговорности треба да бидат дефинирани во рамките на

структурата на управувањето со ризиците. Тоа ги вклучува:

� Сите вработени или службеници во организацијата;

� Ризик менаџерите од секој сектор;

� Координаторот за управување со ризици.

27

Архитектура на системот на внатрешна контрола

Координатор

за управување

со ризици

Ризик менаџери

(лица за контакт)

Оперативен персонал на организацијата

Институција

Сектор

Одделение

Второ ниво

Прво ниво

Дијаграмот покажува две нивоа на внатрешна контрола во организацијата.

Треба да биде назанчен ризик менаџер во секој сектор во организацијата. Неговата улога е да

го потврди нивото и видот на утврените ризици од страна на оперативниот персонал или

раководството.

Види Прилог бр. 8: " Организациона шема за управување со ризик" и Прилог бр.9: "Прво и

второ ниво на контролни активности " .

4.2.1. Вработени во организацијата:

Тоа е главниот дел од првото ниво на системот на внатрешна контрола во пристапот од долу –

нагоре базиран на декларативна проценка. Всушност методологијата се базира на само-

проценка, од состојбата на внатрешната контрола и образецот за проценка на ризикот.

Вработените во секој сектор на организацијата мора да пополнат образец за проценка на

ризикот два пати годишно (редовно ажурирање).

Види Прилог бр.2: " Образец за утврдување и проценка на ризиците ".

4.2.2. Ризик менаџер:

Ризик менаџерите се одговорни за управување со ризиците во секој сектор во организацијата.

Задачите на менаџерот за ризик се:

� Собирање на обрасците за проценка на ризик и обезбедување дека тие правилно се

пополнети,

� Надзор на нивото на ризик и образложението на ризикот во обрасците за проценка

(формално одобрување),

28

� Доставување на обрасците за проценка на ризик до координаторот за управување со

ризик;

� Следење на акциските планови кои доаѓаат од различни сектори во организацијата,

� Обезбедување дека постои култура на свесноста за ризиците во оганизацијата.

Ризик менаџерите треба да бидат свесни дека обрасците за проценка на ризик обично се

пополнети без да се земат во предвид постојните мерки за ублажување, на пример, со

мерките на внатрешната контрола.

4.2.3.Координатор за управување со ризиците:

Координаторот за управување со ризиците е одговорен за проценката на ризиците на

оперативната структура во организацијата. Тој мора да ги собере и комплетира обрасците за

проценка на ризик од сите ризик менаџери. Покрај тоа, координаторите мора да бидат свесни

за утврдениот висок ризик и треба да преземе активност за обезбедување комуникација за

утврдување на ризиците. Координаторот, исто така, треба да обезбеди континуирано

оценување на ризиците, следење на нивоата на ризик, со цел да се утврдат трендови на

настанување (ажурирање на регистрите на ризик).

Во зависност од природата на ризикот и обемот на неговите одговорности координаторот би

можел да преземе потребни дејствија во врска со ризиците во рамки на неговата надлежност.

Должностите на координаторот вклучуваат:

� собирање на обрасците за проценување на ризикот добиени од различни ризик

менаџери;

� евидентирање на деталите од обрасците за проценка на ризикот во Регистарот на

ризици (мапирање на ризиците) и консолидираниот акциски план;

� разгледување на обрасците за проценка на ризиците и собирање на дополнителни

информации доколку се потребни;

� следење на напредокот во ублажувањето на ризиците;

� образлагање на мапираните ризици и негово полугодишно ажурирање.

� консолидирање на акциските планови за целата организација и следење на нивното

спроведување.

Координаторот е одговорен да обезбеди дека ризик менаџерите се обучени и активно го

поддржуваат процесот на управување со ризикот.

Мапирањето на ризикот треба да биде достапно до сите вработени во организацијата, со цел

проценката на ризикот да додаде вредност и да овозможи поефикасни решенија за разликите

во врска со понудените активности за ублажување, крајните рокови и одговорните лица,

додавајќи активности за ублажување и консолидирање на сличните ризици, кои се утврдени

од различни организациони единици.

По добивањето на образецот за проценка на ризикот од ризик менаџерот, координаторот

треба да размисли дали ризикот е веќе покриен со мерките за внатрешна контрола и до кој

степен. Дополнително, заклучоците и препораките дадени од внатрешните ревизори и

утврдени во ревизорските извештаи, исто така, треба да бидат земени во предвид од

координаторот при ажурирање на мапирањето на ризикот.

29

Препорачливо е организирање на редовни состаноци со ризик менаџерите. Координаторот

треба да го утврди дневниот ред на овие состаноци.

5. СЛЕДЕЊЕ И ГОДИШНО ИЗВЕСТУВАЊЕ

5.1.Следење: годишен преглед и ажурирање на регистарот на ризик

Координаторот треба да спроведе годишен преглед на активностите на внатрешната контрола

кој ќе биде основа за изјавата за внатрешна контрола во годишниот извештај.

Секоја година Координаторот треба да го ажурираат регистарот на ризици и повторно да го

оцени нивото на ризик на "централно ниво на ризик" во посебна колона на регистарот на

ризици. Покрај тоа, Координаторот треба да изготви извештај кој ќе биде земен во предвид

при изготвување на Годишниот извештај за системот на внатрешна контрола согласно член 47

од Законот за јавна внатрешна финансиска контрола.

5.2. Годишен извештај

Тековна состојба:

Извештајот се подготвува годишно и само врз основа на прашалникот за самопроценка на

внатрешната контрола и Прирачникот за финансиското управување и контрола. Структурата на

овој годишен извештај ги вклучува сите 5 компоненти на системот на внатрешна контрола

(контролната средина, управување со ризиците, контроли, информации и комуникации и

мониторинг).

Предлози за подобрување :

Годишниот извештај, што треба да го изготви организацијата, е стратешки важен документ кој

обезбедува постојано зголемување на стандардите за квалитет за раководната одговорност.

Целта на овој извештај е да го измери постигнатиот напредокот на годишно ниво во

организацијата. Логично, овој извештај треба да обезбеди збирна годишна евиденција на

активностите на организацијата во областа на финансиското управување и контрола и да

вклучи проценка на заложбите на организацијата за приближување на нејзиниот систем за

финансиско управување и контрола до најдобрите практики на ЕУ.

Извештајот треба да биде колку што е можно пооперативен и ориентиран кон решавање на

проблемите и треба да обезбеди препорачани активности за натамошно подобрување.

Во однос на содржината, годишниот извештај треба да упатува кон подобрувања и развој

постигнат во соодветниот период во споредба со состојбата во претходните

години. Подобрувањата, сепак, се однесуваат особено на развојот на регулативата и

методологијата, обука и институционалните капацитети за финансиско управување и

контрола и управување со ризик.

Исто така, треба да се напомене дека, Државниот завод за ревизија и внатрешната ревизија

треба да направат годишни извештаи за процена на квалитетот на финансиско управување и

контрола (ревизорско мислење за системот на внатрешна контрола). Државниот завод за

ревизија започна со ревизии на успешност на сиситемот на финансиско управување и

контрола и внатешната ревизија со цел да се обезбеди надворешна проценка на системот на

ЈВФК.

30

Извештајот за внатрешна контрола на организацијата треба да ги содржи следните делови:

� Референтни рамки и иницијативи кои се содржани во извештајот.

� Опкружувањето во кое функционира системот на внатрешна контрола на

организацијата:

o Институционалното опкружување;

o Целите, методите и опфатот.

� Учесници во системот за контрола на ризикот:

o Учесници во надзорот на внатрешната контрола (ризик менаџери, Координатор);

o Оперативната организација на контролата на ризикот;

o Периодично оценување на системот за внатрешна контрола од ревизорска

функција (внатрешна и надворешна ревизија).

� Стратегија за внатрешна контрола: на целокупниот систем за контрола на ризикот со

цел да се постигне постојано подобрување

o Чекорите за управување со регистарот на ризици за системот на внатрешна

контрола во организацијата: мапирање на ризикот и акциски план

o Организацијата на секторите, тековно прилагодувања на контролите кон ризиците

o Документирање на работните процеси на организацијата, активностите и ризиците

o Следење на учесниците: зајакнување на ревизорската трага

� Проценка на нивото на зрелост на управувањето со фискалните ризици.

� Заклучок и перспектива.

Види Прилог бр.10: "Пример за предлог структура на Годишен извештај".

31

ПРИЛОЗИ

� Прилог бр.1: "Краток преглед на Книгата на процеси"

� Прилог бр.2: "Пример за образец за проценка на ризикот"

� Прилог бр. 3: "Модел на мапирање на ризикот"

� Прилог бр. 4:" Прашалник за проценка на внатрешната контрола

� Прилог бр.5: "Модел на организациска / функционална шема"

� Прилог бр.6: "Модели на контролна шема"

� Прилог бр.7: "Модел на акциски план за елиминирање на слабостите "

� Прилог бр. 8: " Организационен дијаграм за управување со ризик" и

� Прилог бр.9: "Прво и второ ниво на контролни активности "

� Прилог бр.10: "Пример за предлог структура на Годишен извештај"

32

ПРИЛОГ БР.1

ЛИСТА НА РАБОТНИ ПРОЦЕСИ НА МИНИСТЕРСТВОТО ЗА ФИНАНСИИ

1. ПОДГОТОВКА НА БУЏЕТ

1.1 Проценка на фискалните импликации на законодавството и меѓународните

договори и спогодби

1.2 Изготвување упатства за подготовка на предлог Буџетот за период од три

години

1.3 Подготовка и изработка на Буџетот и неговата консолидација

1.4 Изготвување и одобрување на прераспределбите на буџетски средства до 20%

и до 10% за платите и надоместоците и одлука за прераспределба/ребаланс на

буџетските средства (над 20%)

1.5 Изготвување акт на Владата за начинот на пресметување на износот за

изедначување за децентрализираните функции на локалната самоуправа

1.6 Финансиска помош од централната на локалната власт

2. ИЗВРШУВАЊЕ НА БУЏЕТОТ

2.1 Извршување на плаќањата во согласност со усвоениот Буџет и други нормативни

акти

2.2 Планирање на ликвидноста и финансискиот тек во управувањето со Буџетот

2.3 Активности на девизниот платен промет

3. УПРАВУВАЊЕ СО ЈАВЕН ДОЛГ

3.1 Изработка на стратегија и годишен план за задолжување

3.2 Позајмување на средства на домашниот пазар преку издавање на обврзници

3.3 Подмирување на доспеани обврски

3.4 Наплата на активирани државни гаранции

3.5 Издавање на државни гаранции

4. БУЏЕТСКИ НАДЗОР

4.1 Работа во канцеларија со добиени претставки / барања

4.2 Подготовка за инспекција/буџетска контрола

4.3 Извршување на инспекција/директна буџетска контрола

4.4 Преземање на мерки на инспекцијата/буџетска контрола

5. СМЕТКОВОДСТВО И ФИНАНСИСКИ ИЗВЕШТАИ (ГОДИШНА СМЕТКА)НА ДРЖАВАТА

5.1 Сметководствено евидентирање на расходите и приходите

5.2 Консолидирање на државните финансиски извештаи (годишните сметки)

5.3 Книжење (континуирано)

33

ПРИЛОГ БР. 2

ОБРАЗЕЦ ЗА УТВРДУВАЊЕ И ПРОЦЕНКА НА РИЗИЦИТЕ

УТВРДУВАЊЕ НА РИЗИЦИТЕ ВО ОРГАНИЗАЦИЈАТА ...... Број на утврдениот

ризик

Утврдување на ниво на ризик

Име,презиме и функција

на авторот

Дата на анализата

Име на

координаторот/менаџерот

за ризик

Име на процесот во кој се

утврдуваат ризиците

Активност во која се

утврдуваат ризиците

Вид на активност

Мониторинг/контролен

Работен/бизнис

поддршка /Сервисен

Име,презиме и функција

на сопственикот на

процесот

Цел на активноста

Вид на ризик кој има

влијание на постигнување

на целта

Стратешки

Оперативен

Организациски

Усогласеност/Compliance

Извршување/Ефикасност/Performance

Финансиски

Репутациски

Други ....

Утврдување на ризикот

Веројатност на ризикот

Ниска

Средна

Висока

Оправданост на

веројатноста за појава на

ризик

Можно влијание на

ризикот

Ниско

Средно

Високо

Оправданост за можно

влијание на ризик

34

Ниво на спроведување на

системот на внатрешна

контрола

Нема воспоставени контроли

Ниско

Средно

Високо

Оправданост на нивото на

спроведување на системот

на внатрешна контрола

Дата на утврдување на

проценката

Потпис на координаторот/менаџерот за ризик

________________________________

Потпис на авторот,

____________________________

35

ПРИЛОГ БР. 3 ОБРАЗЕЦ ЗА УТВРДУВАЊЕ/МАПИРАЊЕ НА РИЗИЦИ

Пример за утврдени ризици (пример за Министерсво за финансии)

Број на

утврденио

т ризик

Утврден

процес

Утврдена

активност

Вид на

активност

Сопств

еникот

на

процес

от

(Одгов

орно

лице)

Цел на активноста Вид на

ризик кој

има

влијание на

постигнува

њето на

целта

Утврден

ризик

Веројат

ност на

ризико

т

Образложение

на веројатноста

за појава на

ризик

Можн

о

влијан

ие на

ризик

от

Финансиск

о влијание

(доколку

има)

Образложени

е за можно

влијание на

ризик

Ниво на

инхерент

ен ризик

Ниво на

спроведен

систем на

внатрешна

контрола

Образложение на

нивото на спроведен

систем на внатрешна

контрола

Просечно

ниво на

ризик

Ниво на

резидуале

н ризик

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

2009-БР 01а Подготовк

а на буџет

1.1 Проценка

на

фискалните

импликации

од примената

на

регулативата

и

меѓународни

те спогодби и

договори

Работен Петре

Петрев

ски

Проверка на проценката

на фискалните

импликации од

примената на

регулативата и

меѓународните спогодби и

договори

од страна на директните

буџетски корисници

(расходи и приходи) и

давање мислење во

утврден рок

Оперативен Не е експерт

во различни

области за да

ја препознае

прооценката

направена од

директните

буџетските

корисници

Средна Тоа се случува

понекогаш

Умерено

Влијанието на

буџетскиот

корисник зависи

од износот

Среден Средно Комуникацијата со

секторите во врска со

одредени

потешкотии како и

Секторот за правни

работи. Би било

корисно доклку има

назначено лице со

познавање на

правото

Среден Среден

2009-BP-01B

Подготовк

а на буџет

1.1 Проценка

на



од примената

на

регулативата

и


те спогодби и

договори

Работен Петре

Петревск

и

Проверка на проценката

на фискалните

импликации од

примената на

регулативата и

меѓународните спогодби и

договори од страна на

директните буџетски

корисници (расходи и

приходи) и давање

мислење во утврден рок

Организаци

ски

Не доволно

обучени

вработени кои

ќе ја завршат

работата во

утврдениот

рок (повеќе од

300

документи од

почетокот на

активноста)

Средна Тоа се случува

понекогаш но и

многу често

Умерено Мислењето не е

дадено на

време

Среден Нема

воспоставено

контрола

Тие не даваат совет

ако немаат

време. Нема план на

активности.

Постои само едно

решение,

вработување на уште

2 лица,

раководителот знае

за оваа потреба

Висок Висок

2009-BP-02a

Процес на

подготовка

на Буџетот

и буџетот

на

локалната

самоуправ

а

1.2

Изготвување

на упатства за


на предлог на

државниот

буџет за

периодот од

3 години

Монитори

нг

Петре

Петревск

и

Да се изготви Упатство кое

ќе го одобри

Владата (макроекономски

и фискални проекции,

лимити за сите нивоа на

власт)

Оперативен Не е можно да

се почитуваат

роковите

Средна Веројатноста е

умерена. Претхо

дните рокови во

буџетскиот

календар се

надминати но 15-

ти ноември е

строго почитуван.

Мало Влијанието е

мало, бидејќи

ако се случи

одложување на

усвојувањето на

упатствата, ќе

биде даден

пократок рок на

буџетските

корисници

Низок Нема

воспоставено

контрола

Ништо не може да се

направи, сето тоа

зависи од

политиките. Покрај

тоа, на среден рок

системите за

стратешко

планирање ќе имаат

влијание врз

почитувањето на

рокот оваа година

Висок Среден

2009-BP-02b

Процес на


на Буџетот

и буџетот

на

локалната

самоуправ

а

1.2

Изготвување

на упатства за


на предлог на

државниот

буџет за

периодот од

3 години

Монитори

нг

Петре

Петревск

и

Да се изготви Упатство кое

ќе го одобри

Владата (макроекономски

и фискални проекции,

лимити за сите нивоа на

власт)

Оперативен Грешка во

одредувањето

на Буџетските

предвидувања

– погнози

(тешко е да се

прогнозираат

платите и

некои

субвенции)

Висока Нема капацитет

со точност да се

оцени висината

на платите (без

сигурен ИТ

систем). Социјал

ни и политички

прашања во

врска со

субвенции

(железници и

др.)

Умерено Реалокација на

средствата кога

овој ризик се

случил во

минатото

Висок Ниско Во моментов, постои

слаба контрола. Во

иднина, ќе има

висока контрола,

преку ИТ систем.

Висок Висок

36

Прилог 4

ПРАШАЛНИК ЗА ПРОЦЕНУВАЊЕ НА ВНАТРЕШНАТА КОНТРОЛА

Број на прашалникот за внатрешна контрола

Име на лицето (а) одговорени за проценка на внатрешната

контрола:

Датум на анализа:

Утврден процес

Утврдена активност

Сопственик на процесот

Одговорно лице

Точки на контролата

Референтна

документација

(информации)

Одго

вор Коментари

Користени алатки на контролата (листа

на проверки, придружна

документација ...), земајќи ги предвид

потребните контроли

Тест на

контролниот

примерок кој го

потврдува

резултатот

(доколку е

користен)

Ниво на

спроведен

внатрешно

контролен

систем

Категорија на

контрола (за

информирање)

1. Организациски прашања

1.1. Организација

(кој што прави?)

1.1.1. Дали Министерството за финансии ги

утврдува описите на работните места

опишувајќи го секое работно место,

функциите, задачите и обврските, како и

профилот на кандидатот?

Организациона

шема, Книгата на

процеси

Превентивни

Директивни

37

1.1.2. Дали Министерството за финансии

при утврдување на мисијата (годишно или

повеќегодишно) ги утврдува

конкретните, мерливите,

остварливите,реалните и навремените

(SMART) цели кои треба да ги постигне

(Секторско ниво)?

Директивна

1.1.3. Дали Министерството за финансии

утврдува годишни или повеќегодишни

индикатори на успешност?


1.1.4. Дали организацијата на

Министерството за финансии опишана во

организационата шема редовно се ажурира

наведувајќи ги потребните функции,

должности, замени, делегирањата,

овластувања во ИТ системите,

сметководствените и овластувањата кои се

однесуваат на сметките...?

Детална

организациона

шема, ревизорска

трага

Превентивна

Детективна

1.1.5. Дали Министерството за финансии ги

следи и ажурира ИТ системите и базите на

податоци и користените (Excel) листи?



1.1.6. Дали ограничувањата на

делегираните одговорности и овластувања

се јасно дефинирани,

доделени и соопштени во писмена форма?

Листа на писмени

овластувања



1.1.7. Дали организационата шема ги

раздвојува некомпатибилните задачи?

Книга на процеси:

ревизорска трага и

дијаграм/флоучарт


1.2 Различни нивоа и чекори на контрола

38

1.2.1. Дали компјутерскиот контролен

систем е интегриран во рамки на ИТ

системите кои се користат?



1.2.2. Дали за некои трансакции ex-ante

контролните процедури се задолжителни?


1.2.3. Дали за некои трансакции, е

воспоставен ex post контролен систем?

Корективна


воспоставен систем за само-контрола?

Ако одговорот е

да, кои се

модалитетите на

контролата

(детална, со

земање примерок,

процент...)?



воспоставена процедура „контрола на

четири очи“?


да, кои се





процент...)?




воспоставен надзорен контролен систем?


да, кои се





процент...)?




1.2.7. Дали за некои трансакции се

направени некои споредби на информации

во тековниот период со слични

информации од претходни периоди (година

со година, тековниот квартал на истиот

квартал од минатата година, месец со

Детективска

39

месец, итн)?

1.2.8. Дали некои трансакции се

усогласуваат со сметководствените

информации, оперативните информации и

надворешните информации?


1.2.9. Дали утврдените грешки и

неправилности се коригирани во разумен

рок?


1.2.10. Дали откриените грешки и

неправилности се собрани за годишната

анализа и следењето на индикаторите (по

видови, податоци, износи и активности ...)?


1.3. Општи договори за заштита на имотот

и поддржувачките документи

1.3.1. Дали е воспоставен логичен

безбедносен систем (проверка на

идентитетот за пристап на ИТ системите,

заштита на податоците и обезбедување)?



2. Прашања околу документацијата

2.1 Постојна документација

2.1.1. Дали активноста е дефинирана и

опишана во насоките и упатствата, и дали

се архивирани и достапни на сите

вработени?


Детективни

2.1.2. Дали активностите се опишани во

флоучарти и ревизорски траги. Дали

ревизорските траги редовно се користат од

вработените и дали се ажурираат?

Книга

на процеси:

ревизорска трага и

флоучарт/дијаграм



2.1.3. Дали активностите се опишани во

детални упатства?



2.2. Усогласеност со постојната

документација

40

2.2.1. Дали вработените редовно се

потсетуваат за регулативата?



2.2.2. Правилата редовно се ажурираат? Превентивна

Директивата

2.2.3. Дали е воспоставен систем на обуки

за новата регулатива?



3.1. Утврдување на учесниците

3.1.1. Дали за секоја трансакција, е можно

да се утврдат вработените кои се вклучени

во сите чекори?

Превентивни


3.Прашања за следливост

3.2. Следливост на трансакциите

3.2.1. Дали описот на трансакциите е јасен и

релевантен?



3.2.2. Дали архивското чување на

трансакциите обезбедува гаранции дека

трансакциите од претходните години се

следливи?



3.3. Следливост на контролите

3.3.1. Дали Само-контролите се

формализирани со контролни обрасци?



3.3.2. Дали надзорните контроли се

формализирани со контролни обрасци?



41


ПРИМЕР НА ОРГАНИЗАЦИСКА / ФУНКЦИОНАЛНА ТАБЕЛА

Задачи Одговорно лице

Замена


контролор

Делегација на

потпис

Овластување за

користење на ИТ

системи

Листа/и за

самоконтрола Коментари

Следење на функцијата на

сметководство и известување

Политиката на

воспоставување на цели

(оперативни цели)

Раководител на

сектор Г-дин / г-ѓа

Извршно

раководство

Организација на секторот

Поставени задачи Раководител на

сектор Г-дин / г-ѓа

Извршно


Управување со документација

и проток на информации


сектор

Г-дин / г-ѓа

Одговорност за сигурност на

средствата и ИТ системите

Секој вработен и

раководителот

на секторот:

г-дин / г-ѓа

Извршно


Организација на

сметководствениот систем

Одговорност за задачата на

сметководствената

евиденција и книжењата

(ажурирање на соодветните

сметки)


сектор

Контролор за

финансиско

управување

Овластување за пристап до ИТ

системите


сектор

Сметководствени трансакции

/ управување со

книговодствени рокови

Секој вработен

вклучен во

активноста:

г-дин / г-ѓа


сектор

Сметководствени контроли

42

73 Анекс 5

Задачи Одговорно лице

Замена


контролор

Делегација на

потпис

Овластување за

користење на ИТ

системи

Листа/и за

самоконтрола Коментари

Контрола на значајни

трансакции


вклучен во

активноста: г-дин /

г-ѓа


сектор,

заменикот и

Контролорот за



Вклучени

чувствителни

материјали/

трансакции

Контрола на прекнижувања Раководител на

сектор

Г-дин / г-ѓа Контролор за



Контрола на

сметководствените погрешни

прикажувања


сектор

Г-дин / г-ѓа Контролор за



Контрола на усогласувањето

на главната книга

и под-сметководствените

системи


вклучен во


г-ѓа


сектор,





Контрола на бруто билансот

(заклучниот лист) и контра

сметките


вклучен во


г-ѓа


сектор,





Следење на расчистување на

сметките (или времените

сметки)


вклучен во


г-ѓа


сектор,





43

ПРИЛОГ Бр. 6

МОДЕЛИ НА КОНТРОЛНИ ЛИСТИ 6.1 Листа за внатрешна контрола

Прво лице одговорно за контрола (Л1) Второ лице одговорно за контрола (Л2)

Име Име

Единица Единица

Функција Функција

Датум Датум

Потпис Потпис

УПАТСТВА: − Сите лица определени за вршење контроли, мора за секоја контрола да ги означат полињата користејќи: √ за „ДА“,

Х за „НЕ“ или Н/П за „НЕ СЕ ПРИМЕНУВА“ во колоната која одговара на соодветната позицја

− Коментари / забелешки може да се додадат на последната страна од чек-листата и мора да бидат реферирани

(нумерирани) во колоната „ забелешка“

− Чек-листата мора да биде потпишана од вршителите на контроли и од прегледувачите откако сите контроли се

завршени

Активност/задача Контрола Контролирана

превентивна

активност

Ниво на

ризик

Проверка:%или

вкупно

Л1 Л2 Забелешка

1.1 01

1.1 02

ЗАБЕЛЕШКИ / КОМЕНТАРИ / УПАТСТВА:

Лице 1 одговорно за контрола

Забелешките (да се внесат во колоната „забелешка“) и содржина на забелешки/коментарите /упатствата:

Лице 2 одговорно за контрола


Внатрешен ревизор


Други


Овој дел се однесува на коментари/забелешки/референци/итн... на внатрешните ревизори

Референца Датум Име Коментари Потпис

44


6.2. ОБРАЗЕЦ ЗА САМОКОНТРОЛА

Образец за самоконтрола

Процес/активност/задача

Девизен платен промет/Наплата на побарувања/ контрола на

точноста и вистинитоста на девизното плаќање во врска со барањето за исплата

Зачестеност

Дневно Неделно Месечно Полугодишно Годишно

Друго: На секое барање за плаќање

Карактер и тип на контрола

Самоконтрола Вид: Контрола на регуларност

Контролни цели

Обезбедување плаќање врз основа на испавно барање за исплата

Опис на начинот на спроведување на контролата

Проверка на веродостојноста на документите: потпис, усогласеност на барањата за плаќање со поткрепена документација

(фактури, договори) и трезорскиот систем.

Контролата мора да биде завршена пред или на денот на достасување (од надворешна страна) во случај на задоцнето

примање на истата.

Потребни документи за спроведување на контрола

Барање за плаќање, листа на потписи од овластени лица, фактури и договори, трезорски податоци, институционалната

рамка во книгата (мапата) на процесите.

Лице одговорно за контрола

45


6.3. ЛИСТА ЗА EX POST СУПЕРВИЗОРСКАТА КОНТРОЛА

ГЛАВНА СОДРЖИНА

Процес

Активност

Сопственик на процесот (Одговорно лице)

Име на службеното лице одговорно за супервизија на


Вид на контрола Контролна цел Барател на контрола

Датум на контрола Датум на претходна

супервизорска контрола

Извештаи и документи користени за контролата

дд/мм/гггг дд/мм/гггг

ПРИМЕРОК И КОНТРОЛИ

Број на контролирани

активности

Критериуми за селекција Вкупно контролирани активности

КОНТРОЛНИ РЕЗУЛТАТИ

Не се откриени слабости

Откриени слабости √

Опис на откриени слабости

Причини за откриените слабости

Организациони причини

Документациони причини

Причини на следливост

Датум на отсранување на

слабостите

дд/мм/гггг Коментар

СЛЕДЕЊЕ НА КОНТРОЛАТА

Упатство за потсетување на одговорните лица за задачата

√

Активност што треба да се спроведе

Опис на спроведување на потребната акција

ПОТПИС

46

ПРИЛОГ БР 7

ПРИМЕР НА АКЦИСКИ ПЛАН ЗА ОТСТРАНУВАЊЕ НА СЛАБОСТИТЕ

Број на ризик Процес на

утврдување Активност

Категорија на

ризик

Откриен

ризик

Коментари за

откриениот

ризик

Активност

Одговорност

(клучни одговорни

лица)

Рок

(Месец /

година)

Извршува

ње

(Да/Не)

Активен ризик /

затворен?(A/З)

2009-BP-01 Подготовка

на Буџет

Проценка на



на

легислативат

а и


те договори

и спогодби


Министерството за

финансии не

воспопоставува

годишни или

повеќегодишни

индикатори за

успешност

Ова е изготвено за целиот државен буџет

Документација

Следливост

2009-BP-02 Подготовка

на Буџет

Процес на


на буџетот и

буџетот на

локалната

власт


Документација

Следливост

47

ПРИЛОГ БР.8

ОРГАНИЗАЦИОНА ШЕМА ЗА УПРАВУВАЊЕ СО РИЗИК

АКТИВНОСТИ ОРГАНИЗАЦИОНА ШЕМА АЛАТКИ

Консолидација

Потврдување

Прегледување

Известување

Мониторинг

Супервизија

Одобрување

Ажурирање

Ажурирање

Само оценување

Мапирање на ризиците

Консолидиран акциски

планови

Годишен извештај

Образец за проценка на

ризиците

Акциски план на

секторот

Книга на процесите

Образец за проценка на

ризиците

РИЗИК МЕНАЏЕР

КООРДИНАТОР


Сектор А


Срктор Б


Сектор В

Враб

отен

и во

одде

лени

ето

А1

Враб

отен

и во

одде

лени

ето

А2

Враб

отен

и во

одде

лени

ето

А3

Враб

отен

и во

одде

лени

ето

Б1

Враб

отен

и во

одде

лени

ето

Б2

Враб

отен

и во

одде

лени

ето

В1

Враб

отен

и во

одде

лени

ето

В2

Враб

отен

и во

одде

лени

ето

В3

48


ПРВО И ВТОРО НИВО НА КОНТРОЛНИ АКТИВНОСТИ

1/ Прво ниво на контроли: На ниво на работна единица

Вид на контрола Ex-ante / ex post контрола Лица одговорни за

контрола

Користена

документација Следливост Пополнување

Само-контрола Ex-ante Вработен кој раководи со

контролираната

активност.

Образец за

самоконтрола

Слаба следливост. ИТ

системот или пишаните

идентификации за користените извештаите за

вршење на контролата.

ИТ систем или исти

правила како и

контролираните правилата

во извештаите.

Контроли

„Четири очи“

Ex-ante Вработен кој е различен

од оној кој ја започнал

активноста (поделба на

должности).

Образец за

контрола „четири

очи“

Слаба следливост. ИТ

системот или пишаните идентификации за

користените извештаите за






Супервизија Ex-ante (конечно

одобрување на

активноста)

Извршен (раководител на

сектор, од секторот ...)

Упатства,

насоки Слаба следливост. ИТ

системот или пишаните

идентификации за

користените извештаите за






Ex-post (самооценување

преку прашалници за

внатрешна контрола)

Прашалници Одговори на прашалници

Специфично пополнување

(од страна на супервизорот

и лицето одговорно за

координирање на

внатрешната контрола.

Ex-post (контрола на една

специфична активност или

дел од процесот врз

основа на примерок).

Упатства,

насоки

Образец за Ex-post

супервизија

Специфично пополнување

(од страна на супервизорот

и лицето одговорно за

координирање на

внатрешната контрола.

49

2/ Управување со ризик и второ ниво на активности

� Управување со акционен план

1. Консолидирање на акциониот план за ФУК подготвен од страна на секторите и одобрен од Координаторот за управување со

ризик бр.1

2. Ажурирање на акциониот план кога нова активност е изготвена од секторите и одобрена од Координаторот за управување со

ризик бр.1

3.Следење на рокови и изготвување на редовни извештаи до Координаторот за управување со ризик за прогресот на акцискиот

план во согласност со раководителите на секторите (Координаторот за управување со ризик)

� Контролни активности

1. Предлагање на Координаторот за управување со ризик годишна програма за ex-post контроли (во согласност со

раководителите на секторите) и контроли на второ ниво според утврдените клучни ризици (Координаторот за управување со

ризик и лицето задолжено за второ ниво на контрола).

2.Централизирање и формална анализа на екс-пост контролите (прашалници за самопроценка и ex-post супервизорски контроли).

3.Вршење контрола на второ ниво: вршење потврдувачка/верификациона контроли (на лице место) во согласност со утврдените

клучни ризици. Второто ниво на контроли може да резултира со препораки до секторите за ажурирање на акцискиот план.

� Методологија

1. Изработка на предлози за подобрување на организацијата на внатрешните контроли и алатките.

2. Обука на вработените кога е потребно.

3. Помагање на работните единици да управуваат со нивните ризици.

50

ПРИЛОГ БР.10

МОДЕЛ ЗА СТРУКТУРАТА НА ГОДИШЕН ИЗВЕШТАЈ

СОДРЖИНА

Кратко резиме

Предмет на извештајот

Главни активности

Главни прашања

Главни препораки и идни планови

I. Вовед

1.1. Систем на ЈВФК во Република Македонија

1.2. Цел на извештајот

1.3. Правна основа на извештајот

1.4. Материјална основа на извештајот

1.5. Опфат на извештајот

1.6. Референци

II. Општ дел – Наоди

2.1. Соодветна стратегија за финансиско управување и контрола

2.1.1. Механизми на системот за финансиска контрола

2.1.2. Стратегија и политики за управување со ризиците

2.2. Проценка за спроведувањето на системот за финансиско управување и контрола

2.2.1. Организација на системот за финансиско управување и контрола

2.2.2. Спроведување на активности за финансиско управување и контрола

2.2.3. Извршување на системот за финансиско управување и контрола

2.2.4. Follow-up ревизорски препораки

2.3. Предлози за развој на системот за финансиско управување и контрола

III. Посебен дел

3.1. Прашалник за самооценување на финансиското управување и контрола

3.2. Достигнато ниво на управување со фискален ризик

IV. Потпис и датум

Насоки за управување со ризиците za...4 1. Вовед Насоките...

Documents